情報処理安全確保支援士 2014年 春期 午前2 問03
問題文
クラウドサービスにおける、従量課金を利用したEDoS (Economic Denial of Service, Economic Denial of Sustainability) 攻撃の説明はどれか。
選択肢
ア:カード情報の取得を目的に、金融機関が利用しているクラウドサービスに侵入する攻撃
イ:課金回避を目的に、同じハードウェア上に構築された別の仮想マシンに侵入し、課金機能を利用不可にする攻撃
ウ:クラウド利用企業の経済的な損失を目的に、リソースを大量消費させる攻撃(正解)
エ:パスワード解析を目的に、クラウド環境のリソースを悪用する攻撃
クラウドサービスにおける従量課金を利用したEDoS (Economic Denial of Service, Economic Denial of Sustainability) 攻撃の説明はどれか【午前2 解説】
正解の理由
EDoS(Economic Denial of Service, 別名 Economic Denial of Sustainability)は、クラウドなど従量課金の環境を狙って、ターゲットの消費リソースを大量に増やすことで利用者に高額の請求を発生させ、結果的にサービス継続を困難にする攻撃です。選択肢ウ「クラウド利用企業の経済的な損失を目的に、リソースを大量消費させる攻撃」がこの定義に合致します。サービスそのものを完全に停止させることが主目的ではなく、課金増加を通じた経済的ダメージが本質です。
解法ステップ
- 問題文で「従量課金を利用した」とある点に注目する(課金の増加が関係する攻撃を探す)。
- 各選択肢を「目的(何を達成したいか)」と「手段(どういう攻撃か)」の観点で分解する。
- 「経済的損失を目的にリソースを大量消費させる」記述がEDoSの定義と一致するか確認する。
- DDoSやその他(カード情報収集、課金機能破壊、パスワード解析)との違いを突き合わせて正答を特定する。
選択肢別の誤答解説
- ア: カード情報取得を目的にクラウドに侵入する攻撃は情報窃取型であり、EDoSの「従量課金を利用した経済的破壊」とは目的が異なります。
- イ: 同じハードウェア上の別VMに侵入し課金機能を利用不可にする行為は可用性や機能破壊の範疇で、従量課金を利用する「課金増加」を目的としていないためEDoSではありません。
- ウ: クラウド利用企業の経済的な損失を目的に、リソースを大量消費させる攻撃 は従量課金制を悪用して費用を増加させる行為であり、EDoSの定義に一致します。
- エ: パスワード解析目的でクラウドのリソースを悪用するのは計算資源の不正利用(総当たり攻撃など)であり、直接的に従量課金を増やすことを主目的とするEDoSとは異なります。
よくある誤解
- 誤解1: EDoSをただのDDoSと同一視する
→ DDoSは可用性の喪失(サービス停止)を狙う一方、EDoSは「継続コスト」を増やすことで経済的に追い込む点が異なります。 - 誤解2: EDoSは常に攻撃トラフィックを大量に送る必要がある
→ 必ずしも大規模な同期的トラフィックを要求せず、従量課金項目(API呼び出し、ストレージI/O、起動回数等)を狙った低強度だが長期的な消費増加でも成立します。 - 誤解3: クラウドの自動スケールは攻撃を防ぐ
→ 自動スケールは可用性を保つが、逆にスケール動作で課金が増えるためEDoSの標的になりやすく、対策とはならない場合があります。
補足コラム
- EDoSの典型的な攻撃手法には、API呼び出しを繰り返す、小規模トラフィックを長時間継続する、あるいはストレージの大量生成・I/Oを発生させる方法などがあります。これらは従量課金項目(リクエスト数、データ転送量、I/O、インスタンス稼働時間)を意図的に増やします。
- 防御策としては、コストアラートの設定、リソース使用上限(quotas)やサーバーレス関数の同時実行制限、WAFや認証で不正API呼び出しをブロック、料金保護のための予算制御や異常検知の導入が有効です。
FAQ
Q: EDoSとDDoSはどちらが深刻ですか?
A: 目的が違うため単純比較は難しいです。DDoSは可用性を直接脅かし、EDoSは継続的なコスト負担で事業継続を困難にします。どちらも対策が必要です。
A: 目的が違うため単純比較は難しいです。DDoSは可用性を直接脅かし、EDoSは継続的なコスト負担で事業継続を困難にします。どちらも対策が必要です。
Q: 小規模な攻撃でもEDoSになり得ますか?
A: はい。従量課金の課金単位やしきい値によっては、長時間の低強度攻撃で大きな費用増を招くことがあります。
A: はい。従量課金の課金単位やしきい値によっては、長時間の低強度攻撃で大きな費用増を招くことがあります。
Q: クラウド事業者がEDoSを防いでくれますか?
A: 事業者は基本的な検知や保護機能を提供しますが、利用者側での予算設定、アラート、アクセス制御設計などの対策も重要です。
A: 事業者は基本的な検知や保護機能を提供しますが、利用者側での予算設定、アラート、アクセス制御設計などの対策も重要です。
関連キーワード: EDoS、従量課金、クラウドセキュリティ、DDoS対策、リソース消費、コストアラート

\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

